Søgemaskine-mystik hos Danland sender private brugerdata i grams

Google og Bing indekserer websider hos feriecentret Danland, der rummer alle kundernes booking-oplysninger. Det gør det muligt at finde frem til for eksempel tomme boliger.

Kunder hos Danland/Dancenter, som lejer feriehuse ud, kan lige nu risikere, at deres private booking-oplysninger dukker op efter en søgning på Google eller Bing.

Siderne er nemlig ikke beskyttet af password, men ligger på en adresse, hvor et tilfældigt tal på 18 cifre i URL’en skal holde fremmede væk. Og det bekymrer Troels Kjems, ejer af firmaet Onlineeffekt.dk, som i tirsdags fik et link til sin booking hos Danland.

»Jeg undrede mig over, at jeg kunne få alle informationer om min booking, bare ved at klikke på et simpelt link i mailen. Og så prøvede jeg at google, for at se, om de her sider var indekseret, og jeg fandt hurtigt 6-7 stykker,« siger han til Version2.

På siden kan man finde reservationsnummer for bookingen, hvor og hvornår man skal hente nøglerne til feriehuset, kundens e-mail og adresse, lejeprisen og betalingsmiddel. Det kan især bruges af indbrudstyve til at regne ud, hvilke huse, der vil stå tomme hvornår.

»Det har jeg det ikke godt med. Jeg ville aldrig selv skrive på sociale medier, hvornår jeg var væk hjemmefra,« siger Troels Kjems.

Han vurderede, at reservationsnumrene var fortløbende, og at man med automatiserede forespørgsler relativt hurtigt ville kunne trække data ud fra de mange bookinger, der altså er frit tilgængelige på nettet, hvis man kender den rette URL.

Men sådan fungerer det ikke, siger Jan Henriksen, onlinechef hos Danland. Reservationsnummeret består af et årstal og dernæst 18 tilfældige cifre. Der skal derfor rigtig mange forsøg til, før man har ramt den rigtige kombination af husnummer, årstal og reservationsnummer.

Er det en høj nok sikkerhed til at beskytte kundernes data?

»Det har det jo været hidtil. Denne her situation (med kundedata i søgeresultater, red.) har aldrig været der før. Og det er også derfor, vi er så meget obs på nu at finde ud af, hvordan oplysningerne kan komme ud,« siger han til Version2.

Det nye problem er altså, at de 'hemmelige' sider med booking-oplysninger bliver indekseret af Google og Bing og kan dukke op i søgeresultaterne.

»Vi har gjort alt, hvad man overhovedet kan gøre, for at undgå at de bliver fundet af Google. Med robots.txt og så videre. Det kan man se, hvis man laver en view source på vores side,« siger han.

Og så er det blevet indekseret alligevel?

»Ja, der er i hvert fald sket et-eller-andet. Det er det, vi er ved at undersøge,« siger onlinechefen.

Ifølge debatten på et opslag på Google+, som Troels Kjems skrev om problemet, kan søgemaskinerne godt finde på at indeksere sider, på trods af en robots.txt-fil på serveren, som beder om det modsatte. Det sker hvis en bruger med en værktøjslinje fra søgemaskinerne besøger en webside, som ikke er blevet indekseret af den sædvanlige crawler, der konstant holder øje med internettet.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (11)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Finn Aarup Nielsen

...kan søgemaskinerne godt finde på at indeksere sider, på trods af en robots.txt-fil på serveren, som beder om det modsatte. Det sker hvis en bruger med en værktøjslinje fra søgemaskinerne besøger en webside, som ikke er blevet indekseret af den sædvanlige crawler, der konstant holder øje med internettet.

Det må søgemaskinerne vel ikke (hvis ellers robots.txt er lavet korrekt)? Og Python's robotparser tillader det heller ikke.

import robotparser  
rp = robotparser.RobotFileParser()  
   
rp.set_url("http://www.dancenter.dk/robots.txt")  
rp.read()  
rp.can_fetch("*", "http://www.dancenter.dk/book/123456789012345678")

melder False.

John Doe123

Det er nærliggende at tro at Google bruger indeksering af emails fra feks. gmail. Det kunne forklare hvorfor meget specifikke 18ciffer urls dukker op i søgeresultatet. Så hvis bekræftelsesemailen er sendt til en gmail-konto, så dukker den op i indekseringe . Det er nok lidt far-fetched, men et interessant tankeeksperiment.

Finn Aarup Nielsen

Næh, men nu er robots.txt kun en opfordring til søgemaskinerne. Der er intet som forhinderer en søgemaskine at suge løs af og offentligtgøre data.


Jeg mener at hvis en søgemaskine offentliggør data der er disallow'et kan det bringe sig i karambolage med ophavsretsloven, - og her også persondataloven, hvis URL er tilstrækkelig "ugætbar".

Thomas Christensen

Reservationsnummeret består af et årstal og dernæst 18 tilfældige cifre. Der skal derfor rigtig mange forsøg til, før man har ramt den rigtige kombination af husnummer, årstal og reservationsnummer.

Der tænker at en pc hurtige kan gennemløbe de muligheder!

Carsten Hansen

Ifølge debatten på et opslag på Google+, som Troels Kjems skrev om problemet, kan søgemaskinerne godt finde på at indeksere sider, på trods af en robots.txt-fil på serveren, som beder om det modsatte. Det sker hvis en bruger med en værktøjslinje fra søgemaskinerne besøger en webside, som ikke er blevet indekseret af den sædvanlige crawler, der konstant holder øje med internettet.

Hvis Google får adgang til "hemmelige"-websider via en værktøjslinie, som registrerer alle de hjemmesider, som brugeren besøger, så håber jeg, at datatilsynet undersøger det nærmere.

Hemmelige URL's har alle dage været en simpel måde at beskytte sig på og bliver nok brugt af mange, da det er brugervenligt.

Ebbe Hansen

Er der nogen form for sikkerhed i, at en side ikke bliver indekseret? Det er vel kun lidt privatlivs-beskyttelse, man får ud af ikke at være i google.
For mig lyder det som oplysninger, der kræver væsentlig bedre beskyttelse (kryptering, login mv.)

Log ind eller Opret konto for at kommentere